Troyano bancario BingoMod
Investigadores de ciberseguridad han descubierto un nuevo troyano de acceso remoto (RAT) para Android llamado BingoMod. Este malware facilita transferencias de dinero fraudulentas desde dispositivos infectados y los borra para eliminar rastros de su presencia.
Descubierto a finales de mayo de 2024, se cree que BingoMod está activamente en desarrollo. Es probable que el troyano esté vinculado a un actor de amenazas de habla rumana, ya que las primeras versiones del código fuente contienen comentarios escritos en rumano.
Tabla de contenido
Las capacidades amenazadoras de BingoMod RAT
BingoMod es parte de la última generación de troyanos de acceso remoto (RAT) móviles. Sus capacidades avanzadas de acceso remoto permiten a los actores de amenazas llevar a cabo apropiaciones de cuentas (ATO) directamente desde dispositivos infectados, utilizando una técnica de fraude en el dispositivo (ODF).
Este método también se ha visto en otros troyanos bancarios de Android, como Medusa (también conocido como TangleBot), Copybara y TeaBot (también conocido como Anatsa).
Al igual que BRATA , BingoMod presenta un mecanismo de autodestrucción diseñado para borrar evidencia de transferencias fraudulentas del dispositivo infectado, lo que complica el análisis forense. Si bien esta función actualmente afecta solo al almacenamiento externo del dispositivo, se sospecha que las capacidades de acceso remoto podrían usarse para iniciar un restablecimiento completo de fábrica.
BingoMod se introduce en los teléfonos de las personas bajo la apariencia de aplicaciones aparentemente útiles
Algunas de las aplicaciones descubiertas se disfrazan de herramientas de seguridad o actualizaciones de Google Chrome. Después de instalarse mediante tácticas de smishing, la aplicación solicita al usuario permisos de servicios de accesibilidad, que luego utiliza para realizar actividades dañinas.
Estas actividades incluyen implementar la carga útil principal, bloquear al usuario fuera de la pantalla principal para recopilar información del dispositivo y filtrar estos datos a un servidor controlado por el atacante. Además, la aplicación explota la API de servicios de accesibilidad para recopilar información confidencial que se muestra en la pantalla, como credenciales y saldos de cuentas bancarias. Se otorga a sí mismo permiso para interceptar mensajes SMS.
Los actores de amenazas operan BingoMod RAT directamente
Para realizar transferencias de dinero directamente desde dispositivos comprometidos, BingoMod establece una conexión basada en socket con su infraestructura de Comando y Control (C2). Esto le permite recibir hasta 40 comandos remotos, incluida la toma de capturas de pantalla a través de la API Media Projection de Android e interactuar con el dispositivo en tiempo real.
La técnica de fraude en el dispositivo (ODF) utilizada por BingoMod requiere que un operador real procese manualmente transferencias de dinero de hasta 15 000 € (~$16 100) por transacción en lugar de utilizar un sistema de transferencia automatizado (ATS) para fraude financiero a gran escala.
Además, el malware emplea técnicas de ofuscación de código y puede desinstalar aplicaciones arbitrarias del dispositivo comprometido, lo que sugiere que los autores prioricen la evasión de la detección y la simplicidad sobre las funciones avanzadas.
Más allá del control de pantalla en tiempo real, BingoMod también tiene capacidades de phishing mediante ataques de superposición y notificaciones falsas. A diferencia de los típicos ataques de superposición que se activan cuando se abren aplicaciones de destino específicas, BingoMod inicia estos ataques directamente a través del operador de malware.
